Seguridad : Cisco Secure Access Control Server para Windows

Permiso HTTPS con la configuración de los servicios de certificados SSL para las sesiones del administrador del Cisco Secure ACS

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (15 Septiembre 2014) | Comentarios


Contenido


Introducción

De forma predeterminada, Cisco Secure Access Control Server (ACS) utiliza HTTP para sus sesiones administrativas. Esta configuración de ejemplo trata:

  • uso del HTTPS para acceder la interfaz de HTML del Cisco Secure ACS

  • configuración del certificado (se requiere que antes de que usted pueda habilitar el HTTPS)

Este documento fue escrito originalmente para acomodar los Certificados creados con un Microsoft Certificate Authority (CA), pero se ha puesto al día para agregar los pasos para usar un certificado del auto firms, que se soporta a partir de ACS 3.3. El uso de un certificado del auto firms aerodinamiza la configuración considerablemente porque CA externo no se requiere.

Nota: Si usted desea utilizar un certificado del auto firms, ir al crear y instalar la sección del certificado autofirmado (solamente si no usando CA externo) de este documento.

Nota: Si usted utiliza los servicios de certificados exteriores del vendedor, esté seguro que usted obtiene el certificado apropiado para su servidor Web de los vendedores como Verisign. Diversos Certificados se pudieron ofrecer para Microsoft IIS y Apache.

prerrequisitos

Requisitos

Usted debe abrir una sesión del admin local antes de habilitar el HTTPS. Mantenga esta sesión abierta después de que usted la habilite. Pruebe la conexión con una sesión remota de modo que si no trabaja (por la razón que sea), usted pueda no reelegir como candidato la opción HTTPS Transport for Administration Access (Transporte HTTPS para acceso de administración) del uso. Una vez que usted ha verificado esto, usted puede cerrar a la sesión local.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ACS 3.1.1 o más adelante requeridos

  • Microsoft CA server

  • Internet Information Server (IIS) (debe ser instalado antes de que usted instale CA)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Procedimientos

En esta sección, le presentan con la información para instalar el Microsoft CA server.

Instale el servidor del certificado de Microsoft (CA)

Complete estos pasos:

  1. Elija el Start (Inicio)> Settings (Configuración) > Control panel (Panel de control).

  2. Dentro del panel de control, abierto agregue/quite los programas.

  3. En agregue/quite los programas, selectos agregan/quitan los componentes de Windows.

  4. Elija los servicios de certificados.

  5. Haga clic en Next (Siguiente).

  6. Haga clic sí al mensaje IIS.

  7. Elija un independiente (o la empresa) raíz CA.

  8. Haga clic en Next (Siguiente).

  9. Nombre CA.

    Nota: El resto de cuadros son opcionales.

    Nota: Avoid que da al CA el mismo nombre que el servidor ACS. Esto puede hacer a los clientes PEAP fallar la autenticación porque hacen confusos cuando a certificado raíz CA se encuentra con el mismo nombre que el certificado de servidor. Este problema no es único a los clientes de Cisco. Si usted no planea utilizar el PEAP, éste no se aplica.

  10. Haga clic en Next (Siguiente).

  11. El valor por defecto de la base de datos está correcto.

  12. Haga clic en Next (Siguiente).

    El IIS debe ser instalado antes de que usted instale CA.

Cree un certificado de servidor

Complete estos pasos:

  1. De su servidor ACS, hojee a CA (http://IP_of_CA_server/certsrv/).

  2. Marque la petición un cuadro del certificado.

  3. Haga clic en Next (Siguiente).

  4. Elija el pedido avanzado.

  5. Haga clic en Next (Siguiente).

  6. Elija presentan un pedido de certificado a este CA usando una forma.

  7. Haga clic en Next (Siguiente).

  8. Teclee un nombre en el cuadro del nombre (CN).

  9. Para el propósito previsto, elija el Certificado de autenticación de servidor.

    Nota:  Si usted utiliza la empresa CA, elija el servidor Web de la primera lista desplegable.

  10. Elija éstos bajo opción dominante para crear una nueva plantilla:

    • CSP — V1.0 del Proveedor criptográfico de la base de Microsoft

    • Tamaños de clave — 1024

      Nota: Los Certificados creados con los tamaños de clave mayores de 1024 pudieron trabajar para el HTTPS pero no trabajan para el PEAP.

      Nota: La empresa CA de Windows 2003 permite los tamaños de clave mayores de 1024, pero usar un dominante más en gran parte de 1024 no trabaja con el PEAP. La autenticación pudo aparecer pasar en el ACS, pero el cliente apenas cuelga mientras que se intenta la autenticación.

    • Claves como exportables

      Nota: Microsoft ha cambiado la plantilla del servidor Web con la versión de la empresa CA de Windows 2003. Con este cambio de la plantilla, las claves son no más exportables, y la opción es greyed hacia fuera. No hay otros Certificate Template plantilla de certificado suministrados los servicios de certificados que están para la autenticación de servidor, o que dan la capacidad de marcar las claves como exportables en el menú desplegable. Para crear una nueva plantilla que lo hace así pues, ver el crear una nueva sección del Certificate Template plantilla de certificado.

    • Utilice el almacenamiento de máquina local

    Nota: El resto de las opciones se deben dejar como valor por defecto.

  11. Haga clic en Submit (Enviar).

  12. Usted debe conseguir este mensaje: Se ha recibido su pedido de certificado.

Cree un nuevo Certificate Template plantilla de certificado

Complete estos pasos:

  1. Elija el Start (Inicio) > Run (Ejecutar) > el certmpl.msc.

  2. Haga clic con el botón derecho del ratón la plantilla del servidor Web.

  3. Elija la plantilla duplicado.

  4. Dé a plantilla un nombre, tal como ACS.

  5. Haga clic la lengueta de la dirección de petición.

  6. Elija permiten que la clave privada sea exportada.

  7. Haga clic el botón CSP.

  8. Elija el v1.0 del Proveedor criptográfico de la base de Microsoft.

  9. Haga clic en OK.

    Nota: Toda la otra opción se debe dejar como valor por defecto.

  10. Haga clic en Apply (Aplicar).

  11. Haga clic en OK.

  12. Abra CA MMC broche-en.

  13. Haga clic con el botón derecho del ratón los Certificate Template plantilla de certificado.

  14. Elija nuevo > Certificate Template plantilla de certificado a publicar.

  15. Elija la nueva plantilla que usted creó.

  16. Haga clic en OK.

  17. Recomience CA.

    La nueva plantilla se incluye en la lista desplegable del Certificate Template plantilla de certificado.

Apruebe el certificado de CA

Complete estos pasos:

  1. Elija el Start (Inicio) > Programs (Programas) > Administrative Tools (Herramientas administrativas) > el Certificate Authority.

  2. En el cristal izquierdo, amplíe el certificado.

  3. Elija hasta que finalicen las peticiones.

  4. Haga clic con el botón derecho del ratón en el certificado.

  5. Elija todas las tareas.

  6. Elija el problema.

Descargue el certificado de servidor al servidor ACS

Complete estos pasos:

  1. De su servidor ACS, hojee a CA (http://IP_of_CA_server/certsrv/).

  2. Elija el control en un certificado pendiente.

  3. Haga clic en Next (Siguiente).

  4. Seleccione el certificado.

  5. Haga clic en Next (Siguiente).

  6. El tecleo instala.

Instale el certificado de CA en el servidor ACS

Nota: Estos pasos no se requieren si el ACS y CA están instalados en el mismo servidor.

    Complete estos pasos:

  1. De su servidor ACS, hojee a CA (http://IP_of_CA_server/certsrv/).

  2. Elija extraen el certificado de CA o el Lista de revocación de certificados (CRL).

  3. Haga clic en Next (Siguiente).

  4. Elija el base 64 codificado.

  5. Haga clic el certificado de CA de la descarga.

  6. Haga clic abierto.

  7. El tecleo instala el certificado.

  8. Haga clic en Next (Siguiente).

  9. Elija el lugar todos los Certificados en el almacén siguiente.

  10. El tecleo hojea.

  11. Marque el cuadro de los almacenes del show physical.

  12. En el cristal izquierdo, amplíe los Trusted Root Certification Authority.

  13. Elija la computadora local.

  14. Haga clic en OK.

  15. Haga clic en Next (Siguiente).

  16. Haga clic en Finish (Finalizar).

  17. El Haga Click en OK en la importación era cuadro acertado.

Configuración ACS para utilizar el certificado de servidor

Complete estos pasos:

  1. En el servidor ACS, elija la configuración del sistema.

  2. Elija la configuración del certificado ACS.

  3. Elija instalan el certificado ACS.

  4. Elija el certificado del uso del almacenamiento.

  5. Teclee adentro el nombre CN (el mismo nombre que fue utilizado en el paso 8 del crear una sección del certificado de servidor).

  6. Haga clic en Submit (Enviar).

  7. En el servidor ACS, configuración del sistema del tecleo.

  8. Elija la configuración del certificado ACS.

  9. Elija editan Certificate Trust List (Lista de confianza del certificado).

  10. Marque el cuadro para CA.

  11. Haga clic en Submit (Enviar).

Cree y instale un certificado autofirmado

Nota:  Esta sección se aplica solamente si usted no está utilizando CA externo.

Complete estos pasos:

  1. En el servidor ACS, haga clic la configuración del sistema.

  2. Haga clic la configuración del certificado ACS.

  3. El tecleo genera el certificado autofirmado.

  4. Teclee el tema del certificado en el de la forma. En este ejemplo, se utiliza cn=ACS33. Para más opción de configuración del certificado autofirmado, refiera a la configuración del sistema: Autenticación y certificados.

  5. Teclee la ruta completa y el nombre del certificado que se creará en el cuadro del archivo de certificado. Por ejemplo, c:\acscerts\acs33.cer.

  6. Teclee la ruta completa y el nombre del archivo de clave privado que se creará en el cuadro del archivo de clave privado. Por ejemplo, c:\acscerts\acs33.pvk.

  7. Ingrese y confirme la contraseña de la clave privada.

  8. Elija 1024 de la lista desplegable de la longitud de clave.

    Nota: Mientras que el ACS puede generar los tamaños de clave mayores de 1024, usando un dominante más en gran parte de 1024 no trabaja con el PEAP. La autenticación pudo aparecer pasar en el ACS, pero el cliente cuelga mientras que se intenta la autenticación.

  9. De la publicación a firmar con la lista, elija la publicación del hash que se utilizará para cifrar la clave. En este ejemplo, la publicación a firmar con en el SHA1 se utiliza.

  10. Certificado generado Install del control.

  11. Haga clic en Submit (Enviar).

Gire el HTTPS para las sesiones del administrador

Complete estos pasos:

  1. Elija Administration Control (Control de administración) > política de acceso.

  2. Marque el transporte del uso HTTPS para el cuadro del acceso de la administración.

  3. Haga clic en Submit (Enviar).

    Usted debe ahora poder abrir una sesión en https://IP_of_ACS:2002. Le indican para un login.

    Nota: Usted debe abrir una sesión del admin local antes de que usted habilite el HTTPS. Mantenga esta sesión abierta después de que usted la habilite. Pruebe la conexión con una sesión remota de modo que si no trabaja (por la razón que sea), usted pueda no reelegir como candidato la opción HTTPS Transport for Administration Access (Transporte HTTPS para acceso de administración) del uso. Una vez que usted verifica esto, usted puede cerrar a la sesión local.

    Nota:  Si usted sucede bloquearse hacia fuera, usted puede cortar el registro para apagar el HTTPS para las sesiones del administrador. Para hacer esto, usted necesita cambiar la clave de registro de un valor de dos a un valor de uno. Por ejemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Cisco\CiscoAAAv3.2\CSAdmin\Config\HT TPSSupport.

Verificación

No podido crear el mensaje de error del objeto del “CertificateAuthority.Request”

En esta sección encontrará información que puede utilizar para confirmar que su configuración esté funcionando correctamente.

Complete estos pasos:

  1. Elija el Start (Inicio) > Administrative Tools (Herramientas administrativas) > el IIS.

  2. Elija los sitios web > el Sitio Web predeterminado.

  3. Haga clic con el botón derecho del ratón CertSrv.

  4. Elija las propiedades.

  5. Haga clic el botón de la configuración en la sección de las configuraciones de aplicaciones de la lengueta del directorio virtual.

  6. Haga clic la lengueta de las opciones.

  7. Elija al estado de la sesión del permiso.

    Nota: Toda la otra opción se debe dejar como valor por defecto.

  8. Haga clic en OK.

  9. Haga clic en OK.

  10. Reinicio IIS.

Si su navegador bloquea con un ActiveX que descarga de mensaje de control, refiera a este artículo sobre el sitio Web de Microsoft: El Internet Explorer para el responder en “el mensaje del control ActiveX de la transferencia” cuando usted intenta utilizar un servidor de certificadosleavingcisco.com .

El cargar…

Si el estado del campo CSP “está cargando….,” aseegurele no están ejecutando un Firewall de software en la máquina que somete la petición. ZoneAlarm de ZoneLabs puede causar este problema. El otro software puede también causar este problema.

Troubleshooting

No hay información de Troubleshooting disponible ahora.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 64049